[英]How set secure flag on all cookies for an API developed in .net Core 3.1 C#
我在 .Net core 3.1 C# 中开发了一个 API,我收到了安全团队的评论:
“在通过 HTTPS 访问内容时,应在所有用于传输敏感数据的 cookie 上设置安全标志。”
在 Http 请求中,我有这个 set-cookie
Set-Cookie = ARRAffinity=4a68cdswefr6babf170cab898f6db045c489b03fd905da71e885f1130cb67aab571939a
是否有配置可以在 ASP.Net Core 3.1 中的所有 cookie 上设置安全标志?
这是我的研究结果和对这个问题的回答:
根据这个讨论,没有办法在 .net 代码中为 ARRAffinity cookie 设置安全属性,因为它不是真正的安全问题,我们可以跳过它。
参考: https : //github.com/Azure/app-service-announcements-discussions/issues/26
我们应该使用 app.UseHttpsRedirection(); 确保 API 只能通过 https 访问。
如果在代码中定义了 cookie,请手动设置安全属性
Response.Cookies.Add(
new HttpCookie("key", "value")
{
Secure = true,
});
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.